Cat3560/3750 - VRF vs OSPF

From

Sergey Goncharov (2:5020/400)

To

All (2:5054/37.63)

Date

2009-05-20T19:26:38Z

Area

RU.CISCO

From: "Sergey Goncharov" <maestro@datacom.natm.ru>

Всем доброе время суток, коллеги.

Помогите набрести на светлую мысль на пути дебага одной проблемы плз.

Есть некий mesh из дюжины каталистов 3560G/3750G и одного 4900М. На всех поднят L3, OSPF. Для определенной
категории пользователей внутре каталистов создан VRF, протокол роутинга в нем - также OSPF. Основная таблица
роутинга и VRF-таблица сливаются на C7206 путем взаимной редистрибуции соответствующих OSPF-процессов. Сделано
это для того, чтобы принудительно протащить внешний трафик этой самой определенной категории пользователей
через 72-ю кошку, на ней учет.
Все как бы работает. За исключением двух похожих, но все-таки разных глюков, периодически возникающих на двух
одних и тех же коммутаторах.
1. 3560G. Cisco IOS Software, C3560 Software (C3560-ADVIPSERVICESK9-M), Version 12.2(40)SE, RELEASE SOFTWARE
(fc3).
На 12.2(37)SE было то же самое.
В VRF'е 27 SVI. Периодически часть из них (примерно половина), по настройкам ничем кроме IP-адресов не
отличающаяся от своих более счастливых соседей, теряет выход за пределы VRF. Внутри VRF все прекрасно
работает, доступны хосты за другими роутерами, но пакеты, отправляемые клиентом за пределы VRF, умирают НА
ПЕРВОМ ЖЕ ХОПЕ. То есть клиент не получает даже ответа от своего шлюза по умолчанию, с первого же хопа идут
звезды. Если пинговать снаружи, сниффер показывает, что пакет доходит до клиента, тот отвечает на него, но
ответ не доходит - судя по трейсу, дропается первым же хопом.
В таблицах роутинга VRF по пути следования все как живое. С самогО каталиста все работает.
Лечится командой clear ip ospf xxx process. Какое-то время (несколько дней, может, неделю) работает, потом
повторяется снова.
2. 3750G. Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 12.2(37)SE, RELEASE SOFTWARE
(fc2)
В VRF'е 43 SVI. Периодически часть из них, по настройкам ничем кроме IP-адресов не отличающаяся от своих более
счастливых соседей, теряет доступ к одной из подсетей внутри того же VRF, терминированной на другом свитче,
4900M. Возможно, и к каким-то другим тоже, пока жалобы были только на одну конкретную, поскольку там живет
востребованный ресурс. От соседних подсетей, терминированных на том же 49-м каталисте, она отличается только
размером (/25) и наличием некоторого количества secondary (6шт).
Пакеты, отправляемые клиентом в эту подсеть, опять же, умирают НА ПЕРВОМ ЖЕ ХОПЕ. То есть клиент не получает
даже ответа от своего шлюза по умолчанию, с первого же хопа идут звезды. Если пинговать клиента из целевой
подсети, сниффер показывает, что пакет доходит до клиента, тот отвечает на него, но ответ не доходит - судя по
трейсу, дропается первым же хопом.
В таблицах роутинга VRF по пути следования опять же все как живое. С самогО каталиста доступ в злополучную
подсеть /25 работает.
Опять же лечится командой clear ip ospf xxx process. Какое-то время (несколько дней, может, неделю) работает,
потом повторяется снова.

Глюки эти происходят не одновременно. Ни с чем конкретным ассоциировать не могу.

Размер таблицы VRF - порядка 480 префиксов. С TCAM'ом на обоих свитчах вроде порядок.

Подскажите плз, куда копать / что дебажить ?

Отказаться от VRF на каталистах пока не предлагать. Можно попробовать от него уйти, вытащив нужных абонентов
напрямую на 72-ю в q-in-q, но я к этому пока не готов, ни морально, ни организационно-технически...
- ---
С уважением, Сергей Гончаров
...Daddy In Red...



--- ifmail v.2.15dev5.4
 * Origin: Demos online service (2:5020/400)
SEEN-BY: 50/204 450/1024 461/43 640 465/11 469/142 999 4625/8 4641/444
SEEN-BY: 5000/5000 5006/1 5007/1 5010/70 5011/13 5012/46 5015/28 5019/26
SEEN-BY: 5020/175 400 545 982 1521 2238 4441 5021/29 5025/3 5026/14 5027/12
SEEN-BY: 5030/1080 5034/13 5035/38 5036/1 5037/28 5045/7 5049/1 5054/1 4 8 9
SEEN-BY: 5054/28 30 36 37 67 75 81 89 5060/88 5061/15 5062/10 5063/3 5066/18
SEEN-BY: 5075/5 35 5077/70 5080/68 5084/9 5085/13 5095/20 5096/18 6001/10
SEEN-BY: 6004/3 6009/3 6037/7

PATH: 5020/400 545 5054/1 37